이 기사는 2020년 06월 05일 11:48 thebell 에 표출된 기사입니다.

삼성생명보험이 금융당국으로부터 전산시스템 내부통제가 부실하다며 개선하라는 명령을 받았다.

5일 금융업계에 따르면 삼성생명은 최근 금융감독원으로부터 전산시스템 내부통제 시스템을 재정비하라며 '경영개선' 명령을 받았다. 일반적인 제재와는 달리 강도가 가장 낮은 권고 수준의 지적사항이다. 금감원이 지난해 8월부터 10월까지 두 달간 삼성생명을 상대로 진행한 종합검사의 결과다.

금감원 관계자는 "특히나 IT 전산시스템 관련한 사항들은 개선이 단기간에 이뤄지지 않는 특성상 개선권고가 불가피했다"며 "2015년 이후 4년 만에 부활한 종합검사였던 만큼 강도높은 제재보다는 권고 수준의 경영유의 조치를 내린 것"이라고 설명했다.

당국이 지적한 사안은 크게 6가지다. 먼저 금전업무나 비중요업무로 분류되는 일괄작업 오류발생시 조치 작업이 늦다는 점이다.

통상적으로 일괄작업 오류가 발생하면 책임자와의 전화통화를 통해 정상여부를 확인한다. 그러나 금전관련업무나 비중요 업무의 경우 일괄작업 오류발생 시점 기준 익일 오전 조치내역 정상여부를 확인하고 있다. 즉각적으로 개발책임자의 확인 유무를 파악하기 어려워 프로세스 개선이 필요한 셈이다.

여기서 말하는 금전관련 업무는 보험료나 보험금 수납 등에 해당된다. 금융결제원을 통한 자동이체건 등 일부 금전업무도 비중요업무로 처리하고 있다. 금감원은 금전업무를 중요사항으로 지정할 필요가 있다고 설명했다.

또 노후된 운영체제 관리에도 주의를 기울여야 한다는 지적이다. 현재 삼성생명가 사용하고 있는 윈도우, 유닉스 등의 운영체제 중 일부는 서비스 지원기간이 종료된 제품을 사용하고 있었다. 운영체제 장애가 발생했을 때 제조사로부터 서비스지원을 받지 못할 우려가 크다.

세번째로는 정보처리시스템 접근통제를 강화해야 한다고 경고했다. 현재 삼성생명은 내부 보안시스템을 통해 개발자 등 외부인이 정보처리시스템에 접근할 경우 인가된 업무만 선별적으로 접근하도록 통제하고 있다.

그러나 임금과 제지급 등의 외부주문 개발자는 개발서버 외에 담당 운영서버에도 접근할 수 있다. 개발자가 운영시스템에 임의로 접근할 수 있도록 허용하고 있다. 또한 일부 데이터센터 외주직원에게는 업무상 필요한 시스템에 대한 구분없이 접근을 허용하고 있는 상황이다.

당국은 또 삼성생명의 보험설계사의 인적사항, 회사의 내부정보가 포함된 어플리케이션 시스템의 보안이 취약하다고 평가했다. 작년 9월 25일 기준 최근 2년 시스템에 대해 취약점 분석이나 평가를 실시하지 않아 비인가자에 의한 정보유출 등의 침해사고가 발생할 우려가 있다는 점이다.

아울러 삼성생명의 전산자료 보안통제가 미흡하다는 판단이다. 현재 삼성생명은 PC나 서버에 저장된 전자문서의 암호화를 위해 전자문서보안시스템을 운영하면서 MS오피스, 아래한글, 워드패드나 메모장 등의 프로그램으로 저장할 경우 암호화하고 있다. 그러나 복사·붙여넣기가 가능하며, 대내 업무용시스템을 접속하지 않을 경우 화면캡처 도구를 통해 문서내용을 캡처할 수 있기 때문에 암호화가 불가해진다.

따라서 전자 문서보안시스템의 운영정책을 개선할 필요가 있다는 평가다. 암호화가 적용되지 않는 문서편집프로그램, 화면캡처 프로그램에 대해서 디지털저작권 권리(DRM)의 암호화기능을 확대하는 등의 방식이다.

마지막 개선요청 사항은 IT사업의 소요예산 산정절차가 불합리하다는 점이다. 삼성생명은 IT개발업체 선정을 위한 예산산정 및 계약 등의 업무를 처리할 때 현업부서는 외부업체의 자문을 받아 가격견적을 낸다. 시스템의 외주운영업체가 제공한 투입인력소요공수(투입공수) 등을 기초로 IT사업 요청예산안을 마련한다.

그러나 기술검토에 따라 소요예산이 변경되는 경우 외부 전문업체를 통한 IT사업 가격 조사, 복수회사에 견적요청 등을 통해 사업예산을 재산정하지 않는다. 계약담당팀이 최초 IT사업예산에 일정부분 가감하는 방식을 취하고 있다. 예컨대 소요예산을 변경할 경우 인건비는 조정된 투입공수나 기존 개발사업 평균노임단가(소프트웨어 기술자 평균 임금)를 기준으로 산정하는 것이다.